Kopsavilkums
Windows atjauninājumi, kas ir dated on or after December 14, 2021 add support for packet-level privacy on Encrypting File System (EFS) clients. Veidojot savienojumu ar EFS serveriem, kuros ir instalēti Windows atjauninājumi vai pēc 2021. gada 14. decembra, gan Windows klienti, kas nav Windows EFS klienti, ir jāizmanto pakešu līmeņa konfidencialitāte.
Rīcība
Lai palīdzētu aizsargāt savu vidi un novērstu nepieešanu, veiciet tālāk norādītās darbības.
-
Atjauniniet visus EFS klientus un pēc tam serverus, instalējot Windows atjauninājumus, kas ir datēti ar 2021. gada 14. decembri vai pēc tam.
-
Sākot ar 2022. gada 8. martā, ieviešanas posma atjauninājums, būs nepieciešams ieviešanas režīms un iespējots visos Windows EFS serveros.
Windows atjauninājumu hronometrāža
EFS Windows atjauninājumi tiks izlaisti divos posmos:
-
Sākotnējā izvietošana: atjauninājuma ievads 2021. gada 14. decembrī.
-
Ieviešanas fāze: ieviešanas režīms ir iespējots. Reģistra atslēgas AllowAllCliAuth noņemšana.
2021. gada 14. decembris: sākotnējā izvietošanas fāze
Sākotnējais izvietošanas posms sākas ar Windows atjauninājumiem, kas izlaisti 2021. gada 14. decembrī.
Šajā laidienā:
-
2021. gada 14. decembrī, ja tiek lietoti Windows atjauninājumi, kas ir datēti ar 2021. gada 14. decembri, problēma ir novērsta rakstā CVE-2021-43217.
Atjauninājumā ir iekļauts ieviešanas režīms AllowAllCliAuth reģistra atslēga, kas palīdz izvietot atjauninājumus.
EFS tīklā: vidēm, kur EFS tiek izmantota failu šifrēšanai tīklā, no klienta uz serveri, kurā tiek viesoti faili, iesakām vispirms atjaunināt klientu un pēc tam serveri. Serveru atjaunināšana pirms klienta izraisīs EFS savienojuma kļūdas.
Vidēm, kurās efS klientu atjaunināšana pirms serveriem nav iespējama, esam nodrošināuši reģistra atslēgu ar nosaukumu AllowAllCliAuth , ko var iestatīt serverī, lai iespējotu neatjauninatu EFS klientus un turpinātu savienojumu, līdz klienta atjaunināšana ir pabeigta. Kad klienti ir atjaunināti, iesakām noņemt reģistra atslēgu AllowAllCliAuth vai iestatīt to uz 0 , lai nodrošinātu, ka labojums ir ieviests visos klientos.
2022. gada 8. marts: Ieviešanas posms
Otrais izvietošanas posms sākas ar Windows atjauninājumu, kas tika izlaists 2022. gada 8. martā. Šajā laidienā:
-
Tiks noņemts reģistra atslēgas AllowAllCliAuth atbalsts, lai nodrošinātu, ka CVE-2021-43217 labojuma ieviešana tiek veikta visiem klientiem un serveriem, kas atjaunināti ar 2022. gada 8. martā atjaunināto Windows atjauninājumu.
Reģistra atslēgas informācija
Reģistra iestatījuma AllowAllCliAuth vadīkla nosaka, vai EFS klientiem ir jāizmanto pakešu līmeņa konfidencialitāte, izveidojot savienojumu ar EFS Server, kurā ir instalēti Windows atjauninājumi, kas izlaisti no 2021. gada 14. decembra līdz 2022. gada 22. februārim.
EFS serveri, kuri instalēs 2022. gada 8. martā, un jaunāku Windows atjauninājumu, ignorēs iestatījumu AllowAllCliAuth .
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Vērtība |
AllowAllCliAuth |
Datu tips |
REG_DWORD |
Dati |
1. EFS serveris neievieš pakešu līmeņa konfidencialitāti EFS serverī. 0: EFS klientiem ir jāatbalsta pakešu līmeņa konfidencialitāte, lai izveidotu savienojumu ar EFS serveri, kurā ir iestatīta šī reģistra atslēga. Šis ir ieviešanas režīms. Piezīme Ja reģistra atslēga serverī nepastāv, tiek izmantots noklusējuma iestatījums. |
Noklusējums |
0 (ja reģistra atslēga nav iestatīta) |
Vai nepieciešama restartēšana? |
Nē |
Notikumu auditēšana
2021. gada 14. decembra Windows atjauninājumi pievieno divus jaunus notikumu žurnālus. Ņemiet vērā, ka šos notikumus var reģistrēt tikai vienreiz sesijas laikā pēc restartēšanas, ja tiek mainīts reģistra iestatījums Ieviešanas režīms.
1. pasākums
Šis notikums tiek reģistrēts, ja neatjaunina EFS klients, kas neatbalsta pakešu līmeņa konfidencialitāti, mēģina izveidot savienojumu ar EFS serveri, kurā Ir Windows atjauninājumi, kas ir novecojuši vai ir pēc 2021. gada 14. decembra.
Notikumu žurnāls |
Lietojumprogramma |
Notikuma tips |
Kļūda |
Notikuma avots |
EFS |
Notikuma ID |
4420 |
Notikuma teksts |
Klients mēģināja izsaukt EFS pakalpojuma API bez konfidencialitātes līmeņa autentifikācijas. Kļūdas kods: <Code>. Skatīt https://go.microsoft.com/fwlink/?linkid=2181030 |
2. pasākums
Šis notikums tiek reģistrēts, kad EFS klients mēģina izveidot savienojumu ar EFS serveri, kurā ir instalēti Windows atjauninājumi, kas ir pārbaudījuši 2021. gada 14. decembri un iestatījis reģistra iestatījumu AllowAllCliAuth uz 1.
Notikumu žurnāls |
Lietojumprogramma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
EFS |
Notikuma ID |
4421 |
Notikuma teksts |
Tika atļauts klients ar nosaukumu EFS pakalpojuma API bez konfidencialitātes līmeņa autentifikācijas. Skatiet https://go.microsoft.com/fwlink/?linkid=2181030. |